« La cybersécurité, nous en avons fait une priorité ». C’est le slogan de l’Agence du numérique en santé (ANS) qui annonce la naissance du CERT Santé le 27 avril 2021 sur son site Internet. Cette instance dédiée à la cybersécurité des établissements de santé et médico-sociaux prend la suite de la cellule d’accompagnement Cybersécurité des structures de santé (ACSS) qui occupait déjà cette fonction au sein de l’ANS.
« L’année 2020 a été une année particulière, et les cyberattaques sont devenues un obstacle majeur au bon fonctionnement des établissements de santé et structures médico-sociales », constate l’ANS. Pour ces raisons, trois grandes missions sont désormais dévolues au CERT Santé.
L’appui dans le traitement des incidents de cybersécurité : le CERT Santé accompagne l’ensemble des établissements de santé et structures médico-sociales dans le cadre de la réponse aux incidents.
La veille sur la menace de cybersécurité et sensibilisation de la communauté : l’un des objectifs du portail cyberveille-santé est de mettre à disposition des acteurs de la sécurité des systèmes d’information (SSI) des recommandations permettant la mise en place d’actions préventives vis-à-vis des cyberattaques. « Ce portail recense près de 700 acteurs de la sécurité des systèmes d’information (SSI) qui partagent leurs expériences sur tous les sujets touchant à la cybersécurité », précise l’Agence.
Le service national de cybersurveillance et les actions de prévention : le CERT Santé réalise des audits de l’exposition sur Internet des systèmes d’information des structures de santé afin de les aider à réduire le risque d’attaque cyber. Le CERT Santé mène également des actions de prévention ciblées sur des menaces spécifiques et propose des services visant à améliorer la sécurité du SI (messagerie en particulier).
Ce dispositif est complété par la mise en ligne le 28 avril d’un Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé et médico-social. Au total, 250 établissements de santé ont déclaré 369 incidents en 2020 : 60% des déclarations représentent des actes de cybermalveillance, en constante hausse depuis 3 ans.
« Les régions Île-de-France et Auvergne-Rhône-Alpes représentent à elles seules plus de 30% du total des signalements (respectivement 56 et 55 signalements), des chiffres conséquents en comparaison avec le reste du territoire », précise l’ANS.
« L’évolution de cette menace et l’expertise nécessaire pour y faire face nécessitent des moyens trop importants pour de nombreux établissements », constate l’ANS. Le CERT Santé, avec l’appui de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a significativement amélioré en 2020 ses services d’appui à la réponse aux incidents et de veille active de la menace de cybersécurité.
Ghislaine Trabacchi
Sur le même sujet
Établissements de santé : 350 M€ pour lutter contre la cybercriminalité
Le gouvernement veut renforcer sa stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux « pour un montant d’au moins 350 M€ ». Cette…
Cybersécurité des établissements de santé : lancement d’un appel à manifestation d’intérêt
Dans le cadre du déploiement de France Relance, Cédric O annonce le lancement d’un appel à manifestation d’intérêt pour renforcer la cybersécurité des établissements de…